VPN網關產品已接入網路智慧型服務NIS(Network Intelligence Service),支援診斷VPN網關執行個體並能根據診斷出的異常項提供修複建議。您可以使用該功能排查使用VPN網關執行個體過程中遇到的問題,例如IPsec-VPN串連協商問題、VPN網關路由配置問題、VPN網關執行個體狀態問題等。診斷VPN網關執行個體的過程不會影響您的業務。
VPN網關執行個體診斷項說明
下表為您介紹VPN網關執行個體支援的診斷項。
診斷項分類 | 診斷項 | 診斷項說明 |
配置診斷 | 執行個體配置檢查 | 檢查VPN網關執行個體是否處於配置狀態。 如果VPN網關執行個體處於配置狀態,請等待VPN網關執行個體變為正常狀態後再操作。 |
版本檢查 | 檢查VPN網關執行個體的版本是否為最新版本。 建議您將VPN網關版本自助升級至最新版以體驗更多功能。具體操作,請參見升級VPN網關。 | |
隧道協商狀態檢查 | 檢查VPN網關執行個體下每個IPsec串連第一階段和第二階段的協商狀態。 如果系統檢測到IPsec串連協商狀態異常,您可以根據控制台提供的建議排查問題或參見相關文檔排查問題。更多資訊,請參見自主排查IPsec-VPN串連問題。 | |
VPN隧道配置完整性檢查 | 檢查VPN網關執行個體下IPsec-VPN串連是否已經完成IPsec串連的配置。 如果系統檢測到VPN網關執行個體缺少配置,請您根據網路互連需求添加相關配置,配置IPsec串連,請參見建立和管理IPsec串連(單隧道模式)或建立和管理IPsec串連(雙隧道模式)。 | |
系統網段衝突檢查 | 檢查VPN網關執行個體策略路由、目的路由和BGP路由的目標網段是否與100.64.0.0/10網段衝突。 100.64.0.0/10是阿里雲系統網段,需確保VPN網關執行個體下策略路由、目的路由和BGP路由的目標網段不與100.64.0.0/10(包含其子網)網段衝突,否則會造成VPN網關執行個體無法正常工作。 如果系統檢測到系統網段衝突,請修改網段配置或使用NAT Gateway產品進行地址轉換。更多資訊,請參見VPC NAT Gateway聯動VPN網關實現雲上與雲下私網互訪。 | |
BGP一致性檢查 | 檢查IPsec串連是否存在第二階段協商成功但BGP協議協商失敗的情況。 如果系統檢測到IPsec串連存在上述情況,請排查IPsec串連BGP配置及BGP協議報文收發情況。更多資訊,請參見IPsec串連狀態為“第二階段協商成功”,但BGP路由協議的協商狀態為“異常”怎麼辦?。 | |
IPsec共用一階段檢查 | 檢查在多個IPsec串連共用一階段的情況下,多個IPsec串連的相關配置是否相同。 如果一個VPN網關執行個體下存在多個IPsec串連,多個IPsec串連關聯相同的使用者網關,且多個IPsec串連的IKE版本相同,則這些IPsec串連就會共用一階段。在共用一階段情境下,所有IPsec串連的預先共用金鑰以及IKE配置階段的所有參數配置(包含版本、協商模式、密碼編譯演算法、認證演算法、DH分組、SA生存周期(秒))需相同,以確保在IPsec協議協商時可以共用任意一個IPsec串連IKE配置階段的配置。 您可以根據需要修改IPsec串連配置,以確保多個IPsec串連的相關配置相同。具體操作,請參見修改IPsec串連。 | |
容量超限診斷 | VPN網關頻寬使用率檢查 | 檢查VPN網關執行個體的頻寬利用率是否已達VPN網關執行個體頻寬規格的80%。 如果VPN網關執行個體的頻寬利用率已達VPN網關執行個體頻寬規格的80%,您可以根據實際網路需求提升VPN網關執行個體頻寬規格。具體操作,請參見變更配置VPN網關執行個體。 |
費用診斷 | 欠費狀態警示 | 檢查VPN網關執行個體是否處於欠費狀態。 如果系統檢測到VPN網關執行個體處於欠費狀態,請及時儲值。 |
欠費到期預警 | 檢查VPN網關執行個體是否將在7天內到期。 | |
路由診斷 | 未發布路由檢查 | 檢查VPN網關執行個體下是否存在未發布的策略路由或目的路由。 如果系統檢測到VPN網關執行個體存在未發布的策略路由或目的路由,請根據網路互連需求發布路由或刪除路由。具體操作,請參見發布策略路由、刪除策略路由、發布目的路由或刪除目的路由。 |
BGP欠佳配置檢查 | 在IPsec-VPN串連使用BGP動態路由協議的情況下,檢查VPN網關執行個體的BGP配置是否為最佳。
| |
VPN路由配置完整性檢查 |
| |
目的路由間衝突檢查 | 檢查VPN網關執行個體下目的路由的目標網段之間是否有重疊。 如果系統檢測到目的路由的目標網段之間有重疊,請刪除目的路由重新建立,確保目的路由的目標網段之間沒有重疊。具體操作,請參見配置目的路由。 您也可以使用BGP動態路由協議實現組網。更多資訊,請參見建立VPC到本機資料中心的串連(雙隧道模式和BGP路由)。 | |
策略路由間衝突檢查 | 檢查VPN網關執行個體下策略路由的目標網段之間是否有重疊。 如果系統檢測到策略路由的目標網段之間有重疊,請刪除策略路由重新建立,確保策略路由的目標網段之間沒有重疊。具體操作,請參見配置策略路由。 您也可以使用BGP動態路由協議實現組網。更多資訊,請參見建立VPC到本機資料中心的串連(雙隧道模式和BGP路由)。 | |
BGP路由衝突檢查 |
如果BGP路由的目標網段與其他路由的目標網段重疊,請根據控制台建議進行操作。 | |
vpc路由與vpn路由匹配檢查 | 檢查VPC路由表中指向VPN網關執行個體的路由的目標網段是否與VPN網關執行個體下策略路由的目標網段有重疊。 需確保策略路由的目標網段包含VPC路由表中指向VPN網關執行個體的路由的目標網段。 如果系統檢測到當前配置不滿足需求,您需要修改策略路由的目標網段,請先刪除策略路由然後重新建立。具體操作,請參見配置策略路由。 |
發起診斷
登入VPN網關管理主控台。
在頂部功能表列,選擇VPN網關執行個體所屬的地區。
在VPN網關頁面,找到目標VPN網關執行個體,在診斷列選擇。
在執行個體健康診斷面板,查看診斷詳情。
序號
說明
①
異常診斷項將會直接在該面板中顯示出來,您可以直接查看異常診斷項說明、關聯的資源以及處理建議。
②
在诊断项详情地區,選中显示全部诊断项,您可以查看當前VPN網關執行個體被檢測的全部診斷項資訊。
③
在執行個體健康診斷面板上方,單擊前往NIS查看歷史診斷,即可跳轉至網路智慧型服務控制台的概覽頁面,查看當前VPN網關執行個體的歷史診斷報告。更多資訊,請參見概覽。
VPN網關執行個體診斷樣本
對於本機資料中心通過IPsec-VPN串連訪問阿里雲VPC資源的情境,在您部署好IPsec-VPN串連正式傳輸業務流量前,您可以通過診斷VPN網關執行個體檢測IPsec-VPN串連的配置情況,確保後續IPsec-VPN串連可以正常傳輸業務流量。
對VPN網關執行個體發起診斷。具體操作,請參見發起診斷。
在執行個體健康診斷面板查看診斷結果,並根據診斷結果排查問題。
如上圖所示,系統診斷出IPsec-VPN串連第一階段協商未成功。您可以在診斷結果列單擊第一階段協商未成功查看更詳細的診斷說明,然後根據診斷說明排查問題。
您也可以在IPsec串連頁面通過IPsec串連的錯誤碼排查問題。對於IPsec-VPN串連第一階段協商失敗以及第二階段協商失敗的問題,系統均會在IPsec串連頁面提供相應的錯誤碼協助您排查問題。更多資訊,請參見自主排查IPsec-VPN串連問題。
如上圖所示,導致IPsec-VPN串連兩端提議不匹配的原因是兩端的預先共用金鑰不一致,需要修改IPsec-VPN串連兩端配置的預先共用金鑰確保兩端一致。
解決問題後,對VPN網關執行個體再次發起診斷,確保VPN網關執行個體已不存在問題。
如果您的VPN網關執行個體下不存在問題,但是在使用IPsec-VPN串連過程仍遇到問題(例如本機資料中心和VPC之間測試流量不通),您可以查閱常見問題文檔排查問題。更多資訊,請參見IPsec-VPN串連常見問題。